Kas ir lsass.exe un kāpēc tas darbojas?

Tātad jūs esat atradis lsass.exe, kas darbojas jūsu Windows sistēmā. Jūs, iespējams, vēlētos uzzināt, vai tas ir vīruss, vai tas ir kaut kas, kam, domājams, tur jābūt. Nu, mums ir labas ziņas. Šis process nav vīruss, lsass.exe izveidoja Microsoft, un tā ir Windows sistēmā iebūvēta galvenā sistēma “Vietējās drošības iestādes process”. Tomēr pastāv daži kopiju kaķu faila riski. Sīkāku informāciju lasiet.

Šis fails, kas pazīstams kā vietējais drošības autentifikācijas serveris, ģenerē procesu, kas atbild par lietotāju autentificēšanu WinLogon pakalpojumā. Process tiek veikts, izmantojot autentifikācijas paketes, piemēram, noklusējuma msgina.dll. Kad autentifikācija ir veiksmīga, lsass.exe ģenerē lietotāja piekļuves pilnvaru, kuru izmanto, lai palaistu sākotnējo apvalku. Citi marķieri tiek mantoti citos procesos, kurus sāk lietotājs.

Apskatot lsass.exe procesa pētītājā, atklājas, ka tas Windows operē ar 3 primārajiem autentifikācijas pakalpojumiem:

• EFS (failu šifrēšanas sistēma)
  • Nodrošina galveno failu šifrēšanas tehnoloģiju, ko izmanto šifrētu failu glabāšanai NTFS failu sistēmas sējumos. Ja šis pakalpojums tiek apturēts vai atspējots, lietojumprogramma nevarēs piekļūt šifrētiem failiem.
• KeyIso (CNG atslēgas izolācija)
  • SDG atslēgas izolēšana tiek izvietota LSA procesā. Pakalpojums nodrošina privāto atslēgu atslēgu procesa izolāciju un ar tām saistītas kriptogrāfijas operācijas, kā to prasa kopējie kritēriji. Pakalpojums glabā un izmanto ilgstošas ​​atslēgas drošā procesā, kas atbilst kopīgo kritēriju prasībām.
• SamSs (drošības kontu pārvaldnieks)
  • Šī pakalpojuma startēšana signalizē par citiem pakalpojumiem, ka drošības kontu pārvaldnieks (SAM) ir gatavs pieņemt pieprasījumus. Atspējojot šo pakalpojumu, citi sistēmas pakalpojumi netiks paziņoti, kad SAM būs gatavs, kas savukārt var izraisīt šo pakalpojumu nepareizu palaišanu. Šo pakalpojumu nevajadzētu atspējot.

Vietējo IPSEC politiku pārvalda arī lsass.exe. Tas pārvalda un palaiž ISAKMP / Oakley (IKE) un IP drošības draiveri Windows Server.

Ievainojamība

Drošības piezīmē šis process ir drošs. Tomēr ir zināms, ka kopijas vīruss inficē sistēmas. Galvenokārt ļaunprātīgais process tiek nosaukts par isass.exe (Isass.exe = slikts), kas izskatās līdzīgs Lsass.exe (lsass.exe = labs). Ja atrodat, ka process sākas ar lielo burtu “i”, nevis ar mazajiem burtiem “L”, jūsu sistēma, iespējams, ir inficēta.

Šis “isass.exe” ir Trojas vīruss, kas pazīstams kā tārps Sasser. Tārpa mērķis ir slepeni inficēt jūsu sistēmu un sākt novākt datus. Šis vīruss reģistrēs katru ievadīto taustiņsitienu, jo īpaši pēc konta lietotājvārdiem, parolēm, kredītkaršu numuriem un citiem sensitīviem datiem, kurus var izmantot krāpnieciska finansiāla labuma gūšanai. Ja atrodat, ka jūsu dators ir inficēts, šis vīruss ir noņemams, izmantojot Microsoft ļaunprātīgas programmatūras noņemšanas rīks.

Par laimi, copycat “isass.exe” vīruss nav bijis redzams pāris gadu laikā. Microsoft jau sen ir uzlabojis ievainojamību, kas ļāva vīrusam inficēt Windows. Tāpēc ir svarīgi vienmēr atjaunināt sistēmu.

Secinājums

Kopumā lsass.xe ir noklusējuma startēšanas process, kas kontrolē pieteikšanās drošību. Šis process ir drošs un būtisks Windows funkcijai. Tam ir mazs sistēmas nospiedums, taču tā atmiņas izmantojumam nav nozīmes, jo Windows bez tā nevar pareizi darboties. Ja jūsu dators neatpaliek no atjauninājumiem, pastāv iespēja, ka jūs varat inficēties ar kopēja kaķa vīrusu, taču pat tad tas ir maz ticams, ja vien jūs joprojām nedarbināt Windows XP vai vecāku versiju.